В конструкторе сайтов WordPress обнаружили опасную уязвимость
В частности, уязвимыми оказались значки корзины (20 тыс. сайтов), всплывающие окна при входе на сайт (60 тыс. сайтов) и форма ввода электронной почты для оповещения о наличии товара (4 тыс).
По словам руководителя группы аналитики центра мониторинга и предотвращения кибератак компании «Информзащита» Ильназа Гатауллина, они используются, в том числе и на российских сайтах, за исключением третьего плагина, у которого в целом мало установок. Руководитель департамента аудита информационной безопасности Infosecurity Сергей Ненахов пояснил, что жертвой злоумышленников может стать не только администратор сайта, но и обычный клиент — тогда взломщик получит сессию пользователя и использует значения Cookie (небольшие текстовые документы, содержащие информацию о посещении сайтов, логины и пароли для входа в личные кабинеты). Он добавил, что в таком случае спасти может только двухфакторная авторизация на подтверждение критических действий — например, на списание средств со счета.
Wordfence Threat Intelligence сообщила разработчикам WordPress об уязвимости 5 ноября 2021 года. В конце ноября и середине декабря они выпустили обновления для плагинов сайта. На системе WordPress работают 43% сайтов по всему миру.
По данным Reg.ru, более 500 тыс. сайтов рунета тоже сделаны на базе этого конструктора. Сайты, созданные на базе WordPress, периодически подвергаются хакерским атакам.
Читать на rtvi.com
